從廣域網云化推演SASE:面向物聯網和邊緣計算的SD-WAN演進

作者簡介:張云鋒,十年網絡相關行業從業經驗,網絡云化/云網融合相關行業從業人員,微信號:leoricmaster;知乎:https://www.zhihu.com/people/hickoryfans

1 概述

在前一篇行業綜述《SD-WAN行業理解:從廣域網云化看SD-WAN》的「行業動態」部分,簡單提到了SASE這個演進方向。借著前一篇文章的好評鼓勵,接著對SASE這個方向做些補充。

在廣域網云化的趨勢推演中,為什么選擇SASE先來分析?以下幾點原因:

1.SD-WAN的本質是廣域網的云化,它不一個產品,也不是一種技術,更像是一種生產方式的變遷;跟集裝箱的發明類似,作為一種泛化的連接型創新,會導致相關產業鏈發生連鎖變革。SASE,作為廣域網云化和網絡安全相結合的一個新趨勢,剛好可以作為一只麻雀來解剖。

2.與其它趨勢相比,SASE是目前看上去最接地氣,最有可能把廣域網云化的影響,進一步傳遞到諸如物聯網、邊緣計算等其他領域。

3.SASE也和SD-WAN類似,貌似是各種現存技術的混搭拼湊,容易被低估或者容易被誤解成為又一個炒作,也就值得正正名。SD-WAN這個詞快被玩壞了,可能不少業內人士都覺得,這東西炒來炒去還是那盤冷飯,適合市場部門做而不是產品部門做。結果有點像什么呢:大量玩家擠在一個門口掛著”SD-WAN“的小黑屋里,一部分在起哄,另一部分在存量搏殺;屋外的人就有點看傻了,心里默默給這個行業貼上low的標簽。作為從業者,還是想為自己和同行正正名,多往小黑屋外瞅一瞅,畢竟那些比較滋潤的玩家,大多是沒進小黑屋去爭”SD-WAN“之名,而在屋外行廣域網云化之實的。

4.翻看了一些SASE的中文材料,大多偏向直譯介紹,少了一些推理分析,結果就容易是,讀起來感覺每句都懂,但綜合起來看就有點不知所以。這里就不再重復造輪子,會側重于解讀“為什么”,即盡可能“讀出歷史發展中的不得已”。不過既然是推理,就意味著是一家視角,可能會有失偏頗,歡迎指正交流,共同進步。

聲明:作者并非安全領域玩家,只不過網絡云化、云網融合是個綜合領域,所以對安全、應用、方案等方面,也會做些粗淺的跟蹤理解。安全專家看到這兒,可以起身繞道了;不繞道的,先行感謝,文后可以盡情拍磚,絕不介意。

SASE,讀音“sassy”,全稱Secure Access Service Edge,直譯“安全訪問服務邊緣”,由Gartner在2019年首次提出。不同文章對具體的起源文獻說法不同,我們不搞學術研究的就不用糾結這了,直接引用一下相對較早的”Hype Cycle for Enterprise Networking 2019”,可以看到SASE在“Innovation Trigger”一欄里已然在列。

圖一:Hype Cycle for Enterprise Networking 2019

全文會分四部分:

  • 通過「背景分析」回看一下SASE的出身背景,了解一下SASE要在一個什么樣的背景下解決一個什么樣的問題。
  • 通過「產品分析」推演一下為了解決特定的領域問題,SASE類產品需要具備什么樣的關鍵能力。
  • 通過「行業玩家」盤點一下當前有哪幾類玩家在跟進布局,便于對號入座去參考。
  • 通過「未來展望」預判一下SASE可能會有什么樣的發展潛力,是否值得投入。

2 背景分析

2.1 技術背景

為什么總是喜歡從出身背景開始推演分析?因為“努力提升了你的能力,出身決定了你的潛力”。猝不及防,先來一口毒雞湯。

言歸正傳,從廣域網云化視角來繼續推演SASE。萬物云化在帶來空前便利的同時,也帶來了網絡安全邊界的模糊化。什么是網絡安全邊界的模糊化?回顧一下云化趨勢給企業網絡安全架構帶來的變化:

第一階段:傳統階段。這時的數據中心還真的是名副其實的“數據的中心”,企業大多采取星型組網(Hub-Sopke)模式,即所有分支都統一連接到總部的數據中心,以總部為中心去做各種互聯,見圖二。這種方式的優勢:安全,在總部可以配置最為全面的安全棧,重兵布防,嚴防死守;方便,IT人員只要在總部的碉堡炮樓里守好即可,不用去多線作戰。缺點:分支缺乏靈活性,甚至連互聯網流量都需要去總部的安全棧繞行;因為需要繞行,所以分支的用戶體驗很容易被犧牲,最直接的表現就是時延。不過此時數據中心是大多企業應用的終結,所以這種公網體驗的犧牲,犧牲就犧牲了吧。少上網剛好可以多上班,多好的事啊。需要說明的是,以上場景做了簡化處理,因為任何一個階段的解決方案,也是多樣化的,這里只選取了最典型的方案做分析,但不會影響推演,下同。


圖二:Traditional Data Center-Centric Network Security Architecture

第二階段,云化階段。大量的內容和應用從數據中心搬到了云上,傳統的網絡架構隨即不堪重負:一方面分支去往總部的流量急劇增大(需要采購更多的內網帶寬),另一方面分支訪問云的體驗因為需要繞行變得不可忍受(互聯網方向上也有了工作流量)。傳統架構就變成了一個費錢還要挨眾人罵的網絡架構。也就在這個階段,SD-WAN應運而生了,各類初創企業紛紛揭竿而起,一頭扎進了這個有點迷惑有點陷阱的“企業組網游戲”。讓我們再來分析一下SD-WAN在這個階段帶來了什么:

  • 第一、通過增加或者利用分支的互聯網出口,讓分支可以直接訪問互聯網,即所謂的直接互聯網接入(Direct Internet Access,DIA),這極大提升了分支的云使用體驗。不過,這個美好的初衷在客觀上也造成了新興廠商和傳統運營商、傳統設備商的對立局面,后兩者分別面臨了線路替換和設備替換的境遇,不過他們大多都是惹不起的大塊頭,一時間各種行業分析文章滿天飛,大意基本都是在討論“SD-WAN和MPLS-VPN的關系是否不可調和”。大多數新興廠家當然是想竭力緩和和巨頭的對立局面,使出各種招數給出緩和一些的分析觀點,只有Aryaka這類杠把子,會長期把“The First MPLS-Alternative(選我選我選我,我就是替換MPLS的第一選擇)”作為官網標語,太有種了。個人認為SD-WAN和MPLS是兩個維度的詞,沒法說對立或者不對立,有興趣可以參考前文的行業綜述。
  • 第二、通過DIA,分支無需再到總部繞行,獲得了更好的云使用體驗,但一枚硬幣總有正反兩面,SD-WAN在帶來高效靈活的優勢之外,也帶了大量的分支安全需求。畢竟在傳統階段,很多分支沒有公網出口,也就不需要安全設備的。這也是很多初創廠商最為尷尬的局面之一:他們有限的安全功能,客戶是驚恐懷疑的,甚至連他們自己也是沒有底氣的。所以這個階段的SD-WAN設備落地,大多是串接或者旁路在現有分支網絡中的,也就是躲在原防火墻之后。這種方式對舊站點進行改造升級,勉強還能接受,但是對新設站點的部署,客戶心理就會有些微妙了:我都花了SD-WAN設備的錢了,莫非還要再買個防火墻嗎,那我升級SD-WAN的意義在哪里呢。當然,也會有設備商通過堆疊一些ACL相關的功能,就敢號稱自己有防火墻功能,好吧,那就算你也有吧,對安全要求較低的微型節點,也有這種“從了”的事例。

第三階段,應用階段。為什么把這個階段叫做應用階段?因為場面的復雜性,全是因為應用帶來的。

  • 首先,在分支放開DIA之后,意味著公網上的企業應用(包括云),需要和普通的上網流量去競爭帶寬。在傳統階段,這都不算事,畢竟在數據中心內部部署的應用,對企業IT人員來說是完全脫光的,隨便用“IP+端口”的四層方式優先保障就可以解決了。可是現在所有的應用都一股腦兒混在一起了,互聯網上的應用可沒那么容易區分,無論你想提升誰還是打壓誰,再用四層方式來處理,稍有不慎就留下隱患了;此外,很多應用也沒那么守規矩,失去了總部最強安全棧的把關,分支需要去獨自面對各種奇怪(Liu Mang)的應用了,這也注定了分支設備必然要把操作臺從四層升到七層,即“識別應用、管理應用、調度應用”是個必然趨勢,也是一個核心能力,這又斬殺了一大批初創玩家,同時也讓一批精心深耕于此的玩家終獲回報,比如Panabit(利益不相關,純技術推薦)。
  • 其次,以上僅僅討論了分支“防火墻”這一種安全需求,在分支流量繞行總部尋求保護的傳統階段,分支受到的可是總部最強安全棧全方位的保護,現在呢?分支說我褲子都脫光了,你就只給我穿個防火墻??!!!你這不是耍流氓嗎。。。對分支而言,不但應用級別的調度是個剛需,應用級別的安全功能也是一種必然,比如安全Web網關(Secure Web Gateway,SWG)、入侵防御系統(Intrusion Prevention System,IPS)或統一威脅管理(Unified Threat Management,UTM,可視為IPS的綜合升級版)或下一代防火墻(Next Generation Firewall,NGFW,可視為更強版本)等等。一下子多出這么多分支需要額外采購新的安全設備,這看上去是安全廠商的盛宴,就看安全廠商能否全部吃下,客戶是否愿意繼續用這么粗暴的方式來解決問題,答案是至少不全是,Zscaler,Palo Alto Networks這類把安全功能云化的公司起勢了。
  • 再次,還有運維問題。沒聽錯,SD-WAN在這個階段其實帶來了一些運維問題:
    • 第一,傳統階段的分支是不需要互聯網出口的,現在客戶需要額外采購互聯網線路了(underlay),然后在互聯網線路上再去堆疊SD-WAN產品(overlay),這是一個讓客戶和廠商都頭大的問題:現在出了問題該找誰?在傳統階段可是很明確的只用找一家供應商就好了,現在多出了這個現實的麻煩。這也可以理解為什么Aryaka支持提供全球范圍內的最后一公里服務,是在構筑一個很大的競爭壁壘。
    • 第二,如果SD-WAN廠家無法提供令企業滿意的安全功能,意味著企業還要再額外采購額外的安全設備,所有這些設備的運維問題,在傳統時代是不存在的。如果選擇安全廠商的SD-WAN,可以在一定程度上避免這個問題。這大概率也是為什么2018年,轉型SD-WAN的安全廠商,市場份額有一大波提升,
    • 第三,如果說第二個問題是SD-WAN落地時直接帶來的問題的話,還有一個間接帶來的問題:伴隨的云化趨勢,安全功能供應商和網絡功能供應商也在開始快速碎片化,比如圍繞云做安全的公司在迅速崛起,提供諸如云安全訪問代理(Cloud Access Security Broker,CASB)等各種產品;網絡供應商也在迅速崛起,提供諸如應用優化、云連接等各類產品。點狀的需求被挖掘,點狀的產品被開發,點狀的方案被采納,這在早期是可以理解的,畢竟相對不太成熟,不過當大量的新產品和新公司出現在運維人員面前需要對接時,運維人員的技能棧和薪資水平可能會成為一個新的矛盾。

最后,對應用階段的演化做個系統梳理:這是一個應用繁榮的階段,一個浮想聯翩的階段,也是一個夢醒時分的階段。所有對單點功能的想象,基本都實現了;所有對商業落地的期望,基本都破滅了。

我們來捋一捋:SD-WAN的零接觸開通(Zero Touch Provisioning,ZTP),實現了;通用客戶端設備(Universal Customer Premise Equipment,uCPE),實現了;網絡功能虛擬化(Network Functions Virtualization,NFV),實現了;服務鏈(Service Chain),實現了;更不用說前文說的SWG、IPS、UTM、NGFW、CSAB等等,統統都實現了。那就有點奇怪了:SD-Branch = ZTP + uCPE + Service Chain + NFV(SWG、IPS、UTM、NGFW、CSAB,etc),即:用ZTP零接觸開通,用uCPE搭載NFV,用服務鏈按需動態加載各種NFV功能,Bingo!這些問題不就都可以解決了嗎。嗯嗯,同學,醒一醒,在實驗室里應該是能解決的,但在商業中難以落地,為什么?成本問題。現狀是NFV在企業側的接受度很低(這話不是我說的,是Gartner的調研結果說的)。NFV作為軟件,確實是可以通過服務鏈技術來動態生長的,但是你的硬件載體不行啊,如果要預留能動態加載各種NFV功能的盒子,這個成本就不是分支能承受的了,可能都要超越總部了。SASE在這方面離解決問題就更進了一步,稍后分析。

綜上,隨著云計算的普及,導致企業的傳統網絡安全架構碎了一地;各種孤立的產品和解決方案,也導致企業實操困難。移動計算和全球化再來補刀,進一步加重了安全邊界的模糊化,最為明顯的就是新冠疫情,掀起了遠程辦公的高潮,讓傳統的VPN系統猝不及防,面臨著安全、性能等方面的巨大壓力。

2.2 解決方案

“你有病來我有藥”,誰最會說這話,不是廠商,而是像Gartner這類咨詢公司。這次Gartner開出的藥方就是SASE。

在Gartner的定義里,SASE是一種用SD-WAN整合了各種云原生的安全功能,例如之前提到的SWG、IPS、NGFW、CASB等,基于零信任網絡訪問(Zero Trust Network Access,ZTNA,稍后敘述)模型建立推出的一種管理型服務,從而滿足企業在數字化轉型過程中的動態安全訪問需求。


圖三:SASE Convergence

在繼續分析SASE類產品之前,我們先通過背景分析來對SASE做個定性:SASE的本質是網絡和安全的綜合云化。引用一段CATO的描述:

Defining SASE — Not New, Just Better Together: SASE changes this paradigm through a new networking and security platform that is identity-driven, cloud-native, globally distributed, and securely connects all edges to the wide-area network: datacenters, offices, cloud resources, mobile and remote users, and Internet of Things (IoT) devices.

再來說一下關鍵詞:

關鍵詞一:管理型服務。為什么一定要是管理型服務?因為只有云服務這種商業模式才有機會大規模落地。為什么這么說?因為SASE要提供的服務內容很多,服務標準很高,網絡只是一個基礎,它重點涵蓋了安全,隱含涵蓋了性能,在這背后需要大量的資源和一個非常廣譜的技術棧來支撐,只有云服務的規模效應才能把邊際成本變得可落地可實施。參考一下SASE的功能棧(圖四),有多少企業有能力去自建自運維?

圖四:The SASE Stack

關鍵詞二:統一平臺。這是一個隱含的關鍵詞。為什么要統一平臺?因為SASE必須要盡可能高效地去解決安全和性能問題,這決定了它必須一次性處理(single-pass scanning)完流量優化和安全審查,如果再沿用多供應商多引擎的老路(雖然Gartner把服務鏈方式也作為了一種代替),是無法達成這個目標的。統一平臺方式整合和服務鏈方式整合有什么區別?打個不太恰當的比方:一個是中國式的中央集權制對省市的控制力,一個是美國式的聯邦制對州的控制力,兩者在疫情面前的控盤能力可以作為一個參考。那為什么又要把處理效率放到這么高的優先級?這又回到了為什么要先做背景分析,因為通過「背景分析」可以看到,SASE定位著要去解決一個“泛邊緣化”的趨勢。人們不是吃飽了撐得沒事干,一會兒要集中一會兒要邊緣了,而是邊緣化是達成業務實時智能的必需手段(最剛的限制就是無法突破光速)。最后說明一下,SASE是個遠比傳統SD-WAN更為綜合的領域,雖然對外的形態是統一供應商,但是背后可能會有大量的有一技之長的玩家協作,“選好職業-快速練級-組隊打副本”,找場景找定位找伙伴。

3 產品分析

按照Gartner的說法,當前沒有一個供應商可以提供較為完整的SASE產品,也就是說這類產品還遠未成熟。可以從很多廠商那找到SASE材料,當然差異性也是可以預見的。以下選取了部分共識做分析。

3.1 產品特點

身份驅動(Identity-driven)

什么是身份驅動?就是以身份為核心,身份成為了一個獨立的核心業務元素。這是相對于傳統的網絡安全框架常以IP等來間接標識身份,以固定邊界來標識信任區域而言的。為什么要以獨立身份為核心?第一、因為靈活。怎么體現這種靈活性?人、設備、應用、服務等,都可以擁有一個獨立身份。第二、可以提供無限擴展的可能。對身份的綜合維度越大,安全框架的防護潛力就越大。用戶、設備、服務是比較基本的身份因子,在具體業務中還可以使用實時的上下文信息,包括:角色,時間、場地、風險評估等,都可以集成到企業的合規策略里。可以去體驗一下各大公有云的IAM系統和相關的安全策略,做個直觀參考。

圖五:The SASE Identity-Centric Architecture

云原生(Cloud-native)

什么是云原生?這個詞也快被用濫了,通用的云原生的定義可以參考CNCF版本,這里更多的是指:基于云上資源去構建支持多租戶運營的云服務。為什么要強調必須具備云原生這個產品特點呢?因為從「背景分析」可以看出,SASE所面臨的大部分問題是由云化帶來的,也只能靠繼續云化來解決。剛好也可以順便拉通一個現象解讀:為什么NFV有著那么大的敏捷靈活優勢,但企業側卻一直接受度不高呢?這可能就得回到云的本質了,云的本質不是云技術,而是一種敏捷靈活的商業模式:“不求天長地久,只求要時能有,隨時要隨時有”。所有背后的資源和技術,只是在提升這種商業模式的競爭壁壘而已。回看企業側的NFV,它只在技術層面解決了敏捷靈活的問題,但在商業模式上并沒有解決實質問題,企業還是需要和某個硬件去”長相廝守“,所以接受度不高(這是作者分析,并非Gartner調研報告中的解釋,注意甄別以免誤導)。SASE的做法就更近一步了,把很多云原生相關的NFV功能,放進了SASE Cloud的POP里,由供應商來統一提供和維護。更為看好這個趨勢,可以做到圖六中的“薄分支+厚云端”,讓企業分支可以大大減負。可以預見的是,POP中的功能研發,會是存留玩家的主戰場,而不再是盒子(盒子還會存在)。

圖六:From Traditional Heavy Branch to Cloud-Centric Thin Branch/SASE Models

全球分布(Globally Distributed)

為什么要把全球分布作為一個核心特點?通過「背景分析」可以得出,SASE要解決的問題是需要直面用戶和應用的,而且是那種邊界飄忽不定的業務類型;此外,這是一種通用的云服務,不是為某家企業量身定制的。這些都就意味著SASE需要有遍布全球的基礎設施,需要有連接萬物的能力。這個產品特點可能會給很多玩家帶來不小的挑戰。

兼容所有邊緣(All Edges)

為什么要兼容所有邊緣?第一、上面已經說了,SASE要解決的問題是需要直面用戶和應用的,需要有遍布全球的基礎設施和連接萬物的能力。第二、SASE是一個網絡安全模型,為了確保這個模型的一致性,甚至不惜要由統一平臺來提供,那么這必定要求這個平臺需要去支持所有邊緣類型,不能再去開個風險敞口。第三、SASE的出身背景就已經表明,SASE存在的意義,在于去支持“去中心化”的邊緣業務結構,服務各種邊緣會是SASE的主要使命。邊緣會有哪些形態,現在應該沒法完全確定。

3.2 產品架構

以下是SASE類產品的四大件,對運營型SD-WAN玩家來說,形式上好像沒什么新鮮事,簡單帶過。

SASE云(SASE Cloud)

一張遍布全球的,整合了各種網絡和安全功能的,可以服務各種邊緣接入的多租戶的云資源。這份云資源對客戶是完全透明的,只會以SASE Cloud的形式出現在客戶宣傳冊上。

SASE接入點(SASE POP)

SASE Cloud里服務各類接入邊緣的服務觸點,也是各家在業務、技術、資源層面競爭的重點。

SASE邊緣(SASE Edge)

SASE的邊緣設備,包括硬件和軟件形態;可以用當前SD-WAN廠商的CPE類比,只不過隨著時間推移,邊緣形態可能會有更多衍生。

SASE管理平臺(SASE Management)

一個統一的可視可管的控制平臺;可以用當前SD-WAN廠商的自服務平臺類比。

3.3 關鍵能力

SASE產品遠未成熟,各廠對關鍵能力的定義會各不相同。CATO是2015年由Check Point創始人創立的新興SD-WAN廠商,一開始就選擇了將安全作為場景上的突破點,網絡與安全并重,與圖三比較對應,所以這里主要基于Gartner的看法,綜合CATO等玩家的產品作為參考,特此說明,注意甄別。

SD-WAN

SD-WAN既是SASE的神經系統,也是SASE可以復用的基礎架構。客戶有時會問,為什么要采用SD-WAN的?降本增效可能是可以引導的一方面(不同公司的產品價差很大所以不一定成立),通過基礎架構升級支持企業數字化轉型可能是另一方面(肯定成立但愿意為此買賬的不多)。Gartner對此給出的建議比較直接:盡可能早的將網絡和安全統一起來架構。

Get involved now with SD-WAN architecture and planning meetings. Use the opportunity to include network security services as a part of the architecture where possible.

此外,運營型SD-WAN廠商還有兩個額外的優勢能力:

可靠連接(Reliable Connectivity)。這主要是在資源層面說的,主要是為了將用戶和應用能就近接入SASE的全球骨干,提供可靠性、安全和性能方面的最底層保障。為什么對全球骨干這么看重?一個有些刺耳但很多人其實心知肚明的看法:十個工程師去做優化,效果可能都不及買條線來的好。倒不是想貶低技術,因為缺了技術,給再多資源也搞出產品級的穩定,云不就是在資源基礎上用技術堆砌起來的么。資源是SASE服務的基礎,這可能會對SASE玩家帶來一個不小的壓力。

應用性能優化(Application Performance Optimization)。雖說SASE一直在說的是安全,但性能也是隱含其中的,它的目標是一種“統一”的“服務”,那就要解決用戶相關的所有問題,全球范圍內的應用性能問題也是一個剛需,尤其是對SASE將要面對的邊緣計算、物聯網等場景。

以上兩條更多的是從客戶視角來看的,如果再細分一下供應商的產品特性,除了資源之外,一些主流SD-WAN相關的技術,例如鏈路聚合(link aggregation)、動態路徑選擇(dynamic path selection)、丟包緩解(packet loss mitigation)、應用/協議代理(application proxies)等,都會是挺有用的積累。

ZTNA

零信任網絡接入(Zero-Trust Network Access,ZTNA)也是Gartner力推的一個安全框架,用于在網絡安全架構支離破碎的時代取代VPN技術,它有多種可選的實現方式,這里選取云安全聯盟(Cloud Security Alliance,CSA)的軟件定義邊界(Software-Defined Perimeter,SDP)做個簡單介紹。

圖七:SDP Architecture

為什么叫軟件定義邊界?因為它不再假設任何傳統意義上的網絡邊界,而是基于身份和上下文去動態創建邏輯邊界,以此在網絡邊界飄忽不定的環境下,去快速確保通信雙方可以可信交互。SDP,包括其它ZTNA實現,有一些比較有意思的特點:第一,它不會去基于網絡邊界去做任何隱含信任,所以也就不存在傳統意義上的內外網;第二,它通過控制器或網關,對節點先認證授權再開放接入,在此之前整個網絡是關閉的隱藏的,所以可攻擊面極小。那聽上去控制器就是那個喊著“向我開炮”的眾矢之的了?也不至于,控制器可以通過單包授權(Single-Packet Authorization,SPA)技術也被隱藏起來的。SPA是一個輕量級的安全協議,用于構建一個獨立完整的授權申請消息。為什么一定要是單包?主要是為了做到這是一個在正常流程中就可以有去無回的數據包,以便讓非授權方摸不清服務是否存在,即非授權方無法掃描到任何暴露的端口信息。綜上,包括控制器在內的整個網絡基礎設施,就可以在公共基礎設施之上被隱藏起來了。

The controller and AH are protected by single-packet authorization (SPA), making them invisible and inaccessible to unauthorized users and devices. Single-Packet Authorization (SPA), one of the most critical elements of SDP technology is that it requires and enforces an “authenticate before connect” model, which compensates for the open and insecure nature of TCP/IP. SDP accomplishes this through single-packet authorization (SPA), a lightweight security protocol that validates a device or user’s identity before permitting network access to the relevant system component (controller or gateway). The information for a connection request, including the requester’s IP address, is encrypted and authenticated in a single network message. The purpose of SPA is to allow a service to be darkened via a default-drop firewall. The system should drop all TCP and UDP packets and not respond to those attempts, providing no information to potential attackers that the port is being monitored. After authentication and authorization, the user is granted access to the service. SPA is integral to SDP, where it initiates communication in the connections made between clients and controllers; gateways and controllers; and clients and gateways.

以上,基本可以解釋一個潛在的問題:ZTNA跟傳統的VPN技術(當然也包括SD-WAN使用的VPN技術),有什么區別?小結一下就是:

  • 在表象上,前者所用的對端信息是預定義的開放的;后者是每次都需要去動態申請的,在此之前整個網絡是關閉的。
  • 在實質上,前者是基于固定邊界的假設去創建私密通道(例如VPN網關),而后者是基于一個動態的邏輯邊界去創建私密通道。

SWG/CASB/FWaaS

如果說ZTNA是框架式的安全能力,那么SWG、CASB、FWaaS就是Gartner重點提及的三樣具體安全功能了。為什么把他們放到了核心能力里面?大概率他們是脫光了的分支(參考「技術背景」章節)的日常最需。不是安全領域玩家,介紹這種具體的安全功能就太班門弄斧了,所以只是簡單分析一下為什么他們是分支的日常最需:SWG,Secure Web Gateway,即安全Web網關,可以認為是從訪問者的角度去防護各種Web類應用安全隱患的,一般會包含URL過濾(URL filtering),HTTPS/SSL審查(HTTPS/SSL inspection)、反惡意軟件(anti-malware)等功能;CASB,Cloud Access Security Broker,即云安全訪問代理,最開始主要是為了發現影子IT(Shadow IT,即脫離IT管控范圍之外的IT設施,比如各類云盤),逐步發展成為客戶和云服務商之間的安全控制點,用于防止數據泄露;FWaaS,Firewall as a Service,防火墻即服務,是幫助分支變薄的云化版本的防火墻,雖說FWaaS是NGFW(Next-Generation Firewall,下一代防火墻)是兩個維度的概念,但一般FWaaS產品基本上也是NGFW了。NGFW一般會包括入侵防御系統(Intrusion Prevention System,IPS)、深度包檢測(Deep Packet Inspection,DPI)和應用控制(Application Control)等特性。

3.4 關鍵優勢

Gartner給出了九條優勢,有點被感動到了。當正式報告可以,當作文就會有點啰嗦也記不住,所以就不做搬運工了。優勢是什么?如果認可SASE的本質是網路和安全的綜合云化,那關鍵優勢不就又回到云的價值了嗎?“不求天長地久,只求要時能有,隨時要隨時有”。

  • 敏捷:客戶可以無需關心基礎設施,可以在分鐘級別完成全球部署,以便專注于自己的業務創新。
  • 彈性:客戶可以無需預留資源,可以隨時伸縮。
  • 按量付費:CAPAX轉OPEX;甚至在不使用時可以不付費。

在這個基礎上,疊加了安全、性能、統一管控和可視化等優勢。

4 行業玩家

通過以上分析可以看出,SASE有三個明顯的標簽:安全、網絡、云。所以最早這批玩家基本可以分成安全商、網絡商和云廠商三類。因為當前產品形態遠未成熟,所以本節也會過得較快,主要目的是為了各類玩家可以找到自己的參考點。

4.1 安全商

安全商可以進一步分為傳統安全廠商和新興安全廠商兩類。

傳統安全廠商選了Fortinet為代表來分析。Fortinet在近年來可謂風光無限,轉型SD-WAN之后,不但市場份額提升得非常快,更在2020年以同一款FortiGate產品,被Gartner在廣域網基礎設施(WAN Edge Infrstructure)和網絡防火墻(Network Fillwalls)這兩個領域被列為領導者。留意一下關鍵詞:“網絡和安全同一款產品”;再回顧一下SASE的關鍵詞:“網絡和安全融合”,這意味著Fortinet在SASE領域有較大的先發優勢。Fortinet自己也主動說明了情況:

For SASE to work well, all of its components need to interoperate as a single integrated system—connectivity, networking, and security elements alike. Part of the reason that sounds so familiar to us at Fortinet is that we have been delivering the core SASE requirements—plus much more—for years as part of our integrated Security Platform and Security Fabric architecture. This creates true convergence of networking and security functions as part of a security-driven networking approach that further enables the rapid acceleration of digital innovation—without ever compromising protection. A number of our customers looking to implement SASE have found that, with minor adjustments, they already had a SASE solution in place thanks to the power of the Security Fabric.

圖八:Fortinet SASE Architecture

關鍵詞:Security Fabric Architecture。在Fortinet原本的產品架構里,就存在一個接近SASE的框架,所以,“當Gartner提出SASE之后,Fortinet的客戶驚喜地發現,哇哈,好像稍作一下調整就能有SASE類產品了”。為Fortinet產品架構師的前瞻性點贊,為企業在新興領域競爭贏得了優勢市場時間。此外,另一個值得一提的是,Fortinet也早早開發了自己的處理器。

We then went a step further by developing the world’s first SD-WAN processor designed to accelerate networking and security functionalities to provide the level of performance today’s most demanding network environments require.

關鍵詞:World’s First SD-WAN Processor。為什么把硬件性能也當做一個關鍵點?之前提到了,SASE里包含了ZTNA框架,ZTNA理念的一個很大特點就是收縮可信域,一直縮到用戶和應用的邊緣,可信域之外全部加密傳輸,不論是在企業內部或者外部,所以全網加密連接的密度會非常高,這對設備的處理性能帶來了極大的挑戰(可能又會干翻一批玩家),也是一個隱含的卻又非常硬核的競爭壁壘。

對Fortinet夸得有點多了,純產品分析,利益不相關。

新興安全廠商以Palo Alto Networks(PAN)為代表,PAN的手筆比較大,直接收了一家SD-WAN公司CloudGenix。

4.2 網絡商

網絡商可以進一步分為SD-WAN網絡廠商和CDN網絡廠商兩類。實際上,這兩類玩家在SASE之前,已經開始有些“交疊”了。

SD-WAN網絡廠商以CATO Networks為代表,CATO號稱是全球第一家SASE供應商。CATO在創立之初,就選擇了網絡與安全并重。CATO的產品體系分成了Network as a Service (Edge SD-WAN)和Security as a Service兩大類,產品架構如下。

圖九:CATO SASE Architecture

CDN網絡廠商本想以Akamai為代表的,不過Cloudflare起的產品名可能更能讓人理解:Cloudflare One,產品架構如下。

圖十:Cloudflare SASE Architecture;來源:https://www.cloudflare.com/cloudflare-one/

4.3 云廠商

Gartner說云廠商的SASE產品暫時沒有競爭力,反應了一下,好像也是,當前云廠商提供的功能還是偏向于點狀產品。不過如果換個角度,云廠商在資源及應用方面有著很大的優勢,SASE也是一個面向未來的一個重要局點,目測是不會放過這個趨勢的。

5 未來展望

在展望未來之前,再來回看一下為什么SASE會火?抽象總結一下,就是:SASE可以很好地應對被云計算和移動計算撕碎的傳統網絡安全框架。企業的數據中心在事實上已經不再是“數據的中心”了,已經邊緣化成了用戶需要訪問的眾多服務中的一個;邊緣化的趨勢遠未結束,預計到2022年,超過50%的企業數據將在數據中心或云外生成和處理,這也預示著SASE是一個值得去奮力一搏的領域,物聯網、邊緣計算都需要SASE。可能的契合點在哪?也已經比較明顯了,安全、性能、甚至是統一架構或者說融合架構

那么本節的主題,在邏輯上就可以歸結為:物聯網和邊緣計算會怎樣繼續撕碎傳統的網絡安全架構。“Talk is cheap. Show me the code.”,泛談的內容不用付錢可以找到很多,這里以需要真金白銀投入的產品布局來分析。

當前物聯網產業結構已經基本形成,可以分為端、管、邊、云、用五層。因為各大巨頭的基因不同,比如互聯網行業公司(云廠商為代表)、傳統行業公司(GE、Siemens等為代表)、設備商(思科華為等為代表,華為也具備云屬性)、運營商(各大運營商為代表),所以各自的進軍路線也各不相同。如果要找對“邊緣化”趨勢最有說服力的論據,一定要去看一看那些最高高在上的云廠商(高高在上指的是產業層次結構而不是指態度),看看云廠商自己在怎樣“積極下云”(指形式上的去中心化,本質上還是云服務)。

即使是像AWS、微軟、阿里、谷歌、華為等云屬性公司,因為稟賦和入局時間不同,所以去中心化的方式也各不相同,不過步子都是豪邁而堅定的。

第一層邊緣化,不滿足自己的中心節點。在原有的傳統大型中心節點之外,把自己的CDN節點升級成為邊緣計算節點。這類CDN節點要比中心節點邊緣很多,當然數量也要大很多。最典型的獨立產品形態像阿里云的ENS(Edge Node Service),相對隱蔽一些的產品形態像AWS的Lambda@Edge產品(藏在Amazon CloudFront)。

第二層邊緣化,不滿足自己擁有的節點。繼續邊緣化自己的區域節點,節奏上基本是以5G為契合點,和運營商去合作孵化多接入邊緣計算(Multi-access Edge Computing,MEC)場景,比如AWS推的Wavelength Zone,微軟推的Azure Edge Zone,都是在把云節點能力下沉到運營商機房;Google進來得相對較晚,和運營商的合作點有些不同,利用Google在k8s及AI方面的優勢,推Anthos App Modernization Platform平臺,和運營商的利益結合點應該是在包含業務和運營支撐的BOSS類平臺。這類邊緣化的潛在威力會有多大?給個數量上的直觀感受:僅中國鐵塔一家公司,在全國有近190萬個站址及配套設施資源。不過阻力會與潛力并存,一方面的阻力應該會來自云廠商和運營商怎么去分享這些MEC機房,另一方面的阻力應該會來自這些機房需要達到哪種條件才能升格成MEC機房。

第三層邊緣化,不再滿足機房的形態束縛。通過各自擅長的平臺軟件,把云的“魔爪”伸向各類設備,借力設備類合作伙伴去遍布全球。因為從云到邊,再往下還有端和管兩層,所以這類設備的形態就比較有意思了,更是五花八門。典型的“邊”類產品,比如像AWS IoT Greengrass產品及一整套硬件合作伙伴;典型的“端”類產品,比如像AWS的FreeRTOS和AWS IoT Device and Mobile SDKs。AWS顯然不會止步于此,也一直在豐富對Greengrass類產品的支持,比如AWS IoT SiteWise,用于支撐工業物聯網(IIoT)的現場計算場景(SiteWise的含義是讓現場變得具有智慧),AWS IoT Things Graph,可用于支撐在Greengrass上的可視化開發。阿里云也有Greengrass類的對標邊緣產品Link Edge,也有對標的端級產品AliOS Things和Link SDK,不過這里還是想采用華為云對應的邊緣產品IEF(Intelligent Edge Fabric)來做具象化的說明(因為IEF的產品架構圖畫的最具象),下圖中的EdgeNode就是可以隨著車聯網,安防監控,工業制造,智慧家居等各種物聯網場景,跟隨通用硬件散布全球。

  • 從邊緣層再往下拓展,也不是不可能。物聯網涵蓋的范圍太大了,端設備的能力也是五花八門,比如智能水表的端和高清攝像頭的端,能力差別就非常大。當前這里最直接的產品形態是AI芯片類:在端設備上集成一塊尺寸遠小于一美分的芯片,就能具備高安全低能耗高性能的AI能力,是不是聽著很有吸引力?最早的產品形態比如Google的Edge TPU,國內華為也有類似的產品昇騰(Ascend),這類產品在需要時,可以繼續不受Greengrass類的產品形態的束縛,進一步拓展到端側。


    圖十一:華為云IEF產品架構圖

    互聯網公司嫌傳統行業公司太保守太慢要來“幫忙”做物聯網,傳統行業公司嫌互聯網公司不懂行業應用要自己做行業物聯網;互聯網公司嫌電信行業標準化太慢,早早加碼可控度更高的LoRa協議,要形成事實標準,電信行業嫌互聯網公司容易搞得亂糟糟主推NB-IoT組網;傳統設備商在延續自己的優勢傳統演進做5G,但5G在演進時大量采用了云原生技術,并且把數據面統一到UPF(User Plane Function)后又力推基于服務的架構(Service-Based Architecture,SBA),這導致一方面在通信架構演進里涉及到了邊緣計算場景(MEC),另一方面云原生和SBA等可是互聯網公司的強項,讓有很強的技術實力的云廠商躍躍欲試;MEC的技術大部分在設備商和云廠商手里,但機房站址又在運營商和鐵塔公司手里;整個基礎設施演進的目的又是為了達成智能化,智能化的應用一方面離不開云公司的算力和基礎設施,另一方面也離不開可以部署到近場的AI芯片。以前歲月靜好,相對平行的行業,說不清到底是因為誰不講武德,總之感覺要馬上見面了。那個場面,想象了一下,對相關的從業者而言,不知道會是驚是喜。

    最后,為了全文的完整性,還是得硬著頭皮把邏輯說完。以上是從業務需求側預判SASE的未來,再回到供給側來看,SASE自身也是一個可以生長的框架,是Gartner描繪的更加宏大的網絡安全架構演進的一部分。SASE是包含了ZTNA的一個低成本的可落地的演進方式。ZTNA是實現自適應安全架構(Adaptive Security Architecture,ASA)的第一步。ASA是Gartner在2014年提出的下一代安全體系框架,用于應對云計算與物聯網快速發展所帶來的新型安全形勢,從預測、防御、檢測、響應四個維度,強調安全防護是一個持續的、循環的、多角度、細粒度的動態過程。ASA的3.0階段是持續自適應風險與信任評估(Continuous Adaptive Risk and Trust Assessment,CARTA)模型。CARTA是Gartner在2018年十大安全技術趨勢中首次提出,在2019年再次被列入十大安全項目,也是Gartner主推的一種應對當前及未來安全趨勢先進戰略方法。CARTA戰略是一個龐大的體系,包括了AI、機器學習、自動化、行為分析、威脅檢測、安全防護、安全評估等主流技術,用于打造一個自適應自判斷的安全防護平臺。頭疼沒關系,說了這么多,無非就是想說,按Gartner的描述,SASE才剛剛開始,遠未成熟,更遠未結束,后續還會有一個更大的融合框架在開發演進。翻譯成大白話:大郎,該起來吃藥了。那郎中說了,這藥只是第一期,后續還有第二第三期,大郎莫要放棄,堅持治療。

    參考資料:
    The Future of Network Security Is in the Cloud, Gartner, 2020
    Market Guide for Zero Trust Network Access, Gartner, 2020
    CATO Networks,https://www.catonetworks.com/
    Fortinet, https://www.fortinet.com/
    Cloudflare, https://www.cloudflare.com/

    圖片來源:
    圖一:https://virtualizationreview.com/articles/2019/10/14/enterprise-networking-report.aspx
    圖二、三、四、五、六:The Future of Network Security Is in the Cloud
    圖七:Software-Defined Perimeter Architecture Guide
    圖八:Fortinet SASE產品白皮書
    圖九:CATO SASE產品白皮書
    圖十:https://support.huaweicloud.com/productdesc-ief/ief_productdesc_0001.html


    • 本站原創文章僅代表作者觀點,不代表SDNLAB立場。所有原創內容版權均屬SDNLAB,歡迎大家轉發分享。但未經授權,嚴禁任何媒體(平面媒體、網絡媒體、自媒體等)以及微信公眾號復制、轉載、摘編或以其他方式進行使用,轉載須注明來自 SDNLAB并附上本文鏈接。 本站中所有編譯類文章僅用于學習和交流目的,編譯工作遵照 CC 協議,如果有侵犯到您權益的地方,請及時聯系我們。
    • 本文鏈接http://www.diaosizz.com/24643.html
    分享到:
    相關文章
    條評論

    登錄后才可以評論

    leoricmaster 發表于20-12-17
    3